Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»

Автор работы: Пользователь скрыл имя, 05 Марта 2013 в 12:49, дипломная работа

Краткое описание

Цель дипломной работы заключается в модернизации и подготовки информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ.
Для достижения поставленной цели были сформулированы следующие задачи:
Рассмотреть основные понятия в области безопасности информационных технологий.

Скачать в ZIP архиве (974.00 Кб) Сколько стоит заказать работу?
Вложенные файлы: 1 файл

Дипломная работа.doc

— 2.40 Мб (Скачать файл)

Разглашение информации, доступ к  которой ограничен федеральным  законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных частью 1 статьи 14.33 настоящего Кодекса,-

влечет наложение административного  штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от четырех тысяч  до пяти тысяч рублей.

 

Выдержки из Федерального закона «О коммерческой тайне»:

Федеральный закон Российской Федерации от 29 июля 2004 г. № 98-ФЗ «О коммерческой тайне» (с изменениями от 2 февраля, 18 декабря 2006 г.) принят Государственной Думой 9 июля 2004 г., одобрен Советом Федерации 15 июля 2004 г., подписан Президентом Российской Федерации 29 июля 2004 г., опубликован 5 августа 2004 г.

 

Статья 11. Охрана конфиденциальности информации

в рамках трудовых отношений

1. В целях охраны конфиденциальности  информации работодатель обязан.

  • ознакомить под расписку работника, доступ которого к информации, составляющей коммерческую тайну, необходим для выполнения им своих трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой является работодатель и его контрагенты;
  • ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
  • создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.

2. Доступ работника к информации, составляющей коммерческую тайну,  осуществляется с его согласия, если это не предусмотрено его трудовыми обязанностями.

3. В целях охраны конфиденциальности информации работник обязан.

  • выполнять установленный работодателем режим коммерческой тайны;
  • не разглашать информацию, составляющую коммерческую тайну, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях;
  • передать работодателю при прекращении или расторжении трудового договора имеющиеся в пользовании работника материальные носители информации, содержащие информацию, составляющую коммерческую тайну.
  • Трудовым договором с руководителем организации должны предусматриваться его обязательства по обеспечению охраны конфиденциальности информации, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны ее конфиденциальности.
  • Работник имеет право обжаловать в судебном порядке незаконное установление режима коммерческой тайны в отношении информации, к которой он получил доступ в связи с исполнением им трудовых обязанностей.

 

 

 

 

 

 

 

 

 

Глава 3. Подготовка информационной системы персональных данных ООО «Арсенал+» к аттестации на соответствие закону № 152-ФЗ «О персональных данных».

3. 1. Анализ информационной системы (ИС) компании.

На данной стадии дипломной работы необходимо проанализировать информационные потоки, циркулирующие в ИС компании. При этом из всей совокупности обрабатываемой информации определяются информационные ресурсы, содержащие в себе персональные данные, а также технические средства, позволяющие осуществлять обработку ПДн. Техническими средствами будем называть средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т. п.), средства защиты информации, применяемые в информационных системах. По результатам анализа составляется перечень ИСПДн, подлежащих защите, утверждаемый руководителем.

Результатом анализа ИС должен быть некий список, содержащий факты получения/обработки/хранения информации с ПДн. По каждому инциденту необходимо дать следующие описания:

  • Цель получения ПДн;
  • Механизм получения ПДн;
  • Перечень получаемых ПДн;
  • Механизм обработки ПДн;
  • Место хранение ПДн в ИС;
  • Сотрудники, обрабатывающие ПДн;
  • Сотрудники, имеющие доступ к ПДн в ИС;

 

Далее осуществим анализ структуры  информационной системы и определим:

    • перечень автоматизированных рабочих мест, обрабатывающих ПДн;
    • перечень серверного, коммутационного и сетевого оборудования;
    • используемое в ИСПДн общесистемное и прикладное программное обеспечение;
    • наличие и типы средств межсетевого экранирования в распределенных ИСПДн;
    • наличие подключений ИСПДн к сетям связи общего пользования и (или) сетям международного информационного обмена.

3.1.1. Общее состояние процессов обработки ПДн в организации.

В результате проведённого анализа  ИС было выявлено следующие факты  обработки ПДн в ИС (Таблица 1):

Таблица 1.

п/п

Наименование

подразделения

ПДн

Место обработки/хранения ПДн

1

Отдел маркетинга

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы)

Анкета на получение дисконтной

карты, анкета участника

конференции (семинара)

2

Отдел по работе с

ключевыми клиентами

ФИО, паспортные данные

Сканированные копии паспортов

сотрудников

3

Отдел продажи ПО

ФИО, паспортные данные

Сканированные копии паспортов

сотрудников

4

Отдел бизнес-

интеграции

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы)

Таблицы в базах данных бизнес-приложения

5

Бухгалтерия

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы), сведения о

доходах

1С: Бухгалтерия

6

Отдел кадров

ФИО, паспортные данные,

дата рождения, сведения о

работе (должность, место

работы), сведения о

доходах

1С:Зарплата и Кадры, файловые

ресурсы


В итоге, ИСПДн существуют в том  или ином виде в 6 подразделениях, неавтоматизированная обработка ПДн производится в 3 подразделениях.

Основные виды нарушений неавтоматизированной обработки персональных данных:

  • отсутствие обособления ПД в формах анкет и бланков;
  • отсутствие документированного уведомления лиц обрабатывающих ПДн об ответственности за их разглашение;
  • анкеты и бланки не содержат указания цели обработки ПДн, явного согласия владельца ПДн на их обработку ООО «Арсенал+» или его представителями;
  • зачастую публичный доступ к документам содержащим ПДн;
  • отсутствие процедуры транспортировки ПДн, исключающей их утерю.

 

Основные виды нарушений в информационных системах обработки ПДн (ИСПДн):

  • зачастую публичный доступ к электронной копии ПДн (например, отсканированные копии паспортов) или к данным содержащим ПДн;
  • отсутствие криптографической защиты мест хранения ПДн;
  • отсутствие аудита доступа к ПДн в ИСПДн.

В целом же можно сказать, что  нарушения в ИСПДн по факту обусловлены существующей архитектурой информационных систем общего назначения, в которых «попутно» ведется обработка персональных данных.

 

3.1.2. Анализ обработки ПДн в  ИС.

Функционально, ИСПДн можно выделить в три категории:

  1. 1С – Зарплата и кадры, Бухгалтерия;
  2. База данных бизнес-приложения;
  3. Файловые ресурсы.

 

Обработка данных в 1С  – Зарплата и кадры, Бухгалтерия.

Обработка данных первой категории  ведется сотрудниками отдела кадров и бухгалтерии, объем ПДн порядка 400-500 записей, что позволяет квалифицировать их как ПДн третьего класса и уйти от использования оборудования РМ средствами защиты от ПЭМИН. Режим обработки ПДн – многопользовательский с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется через терминальный сервер. Сервер баз данных вынесен в отдельную подсеть и нуждается в защите межсетевым экраном не ниже 5 класса.

С точки зрения подзаконных актов  и постановлений вышеупомянутая схема работы имеет несколько  нарушений:

  • Компьютеры, на которых производится обработка ПДн включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;
  • Доступ к данным имеется у всех сотрудников имеющих доступ в 1С:Зарплата и Кадры  или 1С:Бухгалтерия, при этом не установлен нормативным документов перечень лиц обрабатывающих ПДн, и нет ознакомления указанных лиц о факте обработке ими ПДн;
  • Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения соответствующих журналов, нет ознакомления технического персонала с фактом резервного копирования ими ПДн;
  • Данные хранятся на сервере в незашифрованном виде.

 

Обработка данных в Бизнес-приложении.

Обработка данных производится сотрудниками бухгалтерии, кассирами розничной сети, сотрудниками отдела маркетинга, сотрудниками сервисного центра. Режим обработки ПДн – многопользовательский с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется через терминальный сервер. Сервер баз данных вынесен в отдельную подсеть и нуждается в защите межсетевым экраном не ниже 4 класса.

На основании собранной информации о характере и объеме используемых персональных данных сформирована следующая  аналитическая таблица оценки категории и класса обрабатываемых данных (Таблица 2):

Таблица 2.

п/п

Вид данных

Место хранения

Объем

Категория

Класс

1

ФИО, паспортные данные,

дата рождения, профессия,

адрес

БД RETAIL, таблица

DISCARDHOLDER

40000

3

3

2

ФИО, паспортные данные

БД RETAIL, таблица

CONTACTPERSON

550 000

2

2

3

ФИО, паспортные данные

БД RETAIL, таблица

EMPLTABLE

440

3

3

4

ФИО, паспортные данные

БД RETAIL, таблица

SERVICETABLE

7000

3

3


 

С точки зрения подзаконных актов  и постановлений вышеупомянутая схема работы имеет несколько нарушений:

  • Компьютеры, на которых производится обработка ПДн, включены в общую сеть Компании, но при этом обрабатываемые ПДн не защищены от перехвата на уровне рабочего места пользователя;
  • Доступ к данным имеется у всех сотрудников имеющих доступ в ИС Бизнес-приложения, при этом не установлен нормативным документовм перечень лиц, обрабатывающих ПДн, и нет ознакомления указанных лиц с фактом обработки ими ПДн;
  • Второй класс ПДн подразумевает защиту РМ от ПЭМИН, на которых производится обработка ПДн, данная защита не установлена;
  • Контроль резервных копий БД, содержащих в том числе ПДн, осуществляется без ведения соответствующих журналов, нет ознакомления технического персонала с фактом резервного копирования ими ПДн;
  • Данные хранятся на сервере в незашифрованном виде.

 

Хранение ПДн на файловых ресурсах.

Обработка данных производится сотрудниками отдела кадров, а также рядом других лиц для выполнения рабочих обязанностей. Режим обработки ПДн – многопользовательский  с разграничением прав доступа. РМ сотрудников, обрабатывающих ПДн, находятся в общей сети. Доступ к ПДн осуществляется непосредственно с рабочего места сотрудника.

Информация о работе Комплексное обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных ООО «Арсенал+»